Aktuelles Fallbeispiel

Deutsche Hacker bemäkeln schlechten Bot-Support

Der Video-Wizard hat alle Bewegtbildinhalte der IDG Business Media GmbH unter seiner Fuchtel. Er befüllt die Redaktionssysteme, filmt, schneidet und sieht zu, dass in den Videogalerien stets spannende Themen zu finden sind. Wer will, kann ihn auch im Web 2.0 antreffen, unter anderem bei Facebook und Twitter.

Die deutsche Cybercrime-Szene sei nach wie vor aktiv, so Kaspersky Lab. Vor kurzem sollten mit Bots Geschäfte abgewickelt werden, doch Anbieter und Kunden bekamen sich dabei in die Haare.

Laut Kaspersky läuft der „Bot-Vertrieb“ folgendermaßen ab: Cyberkriminelle bieten so genannte Bot-Pakete an – beziehbar entweder vom Autor des Bots oder von seinem Geschäftspartner. Der Kunde erhält ein Paket mit allen benötigten Dateien. Dazu kommen unterschiedliche Support-Level. Das kann beispielsweise Updates gegen die Erkennung durch Antiviren-Scanner beinhalten.

Ein Bot-Paket, das im Februar 2010 von „Till7“ angeboten wurde, löste jedoch Querelen aus. Dabei handelte es sich um den Bot „v0id bot“ mit einer Web-basierten C&C-Oberfläche. Die Distribution des Bot-Pakets wurde von einem Partner, „3lite“, übernommen. Das Paket beinhaltete die folgenden Komponenten: Aufruf von Webseiten, Download und Ausführung einer Datei von einer angegebenen Webseite, E-Mail-Spamming und -Bombing, Stehlen von Passwörtern sowie HTTP- und UDP-Flooding.

Mitte März tauchten die ersten Forenbeiträge über den fehlenden Support des Bot-Erstellers und seines Partners auf. Ein verärgerter Kunde veröffentlichte schließlich das Bot-Paket im Internet. Er beklagte sich, dass der Bot schlecht geschrieben und der Support nicht vorhanden sei. Das war das Aus für die kommerzielle Nutzung des Bots – zumindest seitens der Autoren. Bald darauf erschienen mehrere veränderte Versionen mit zahlreichen Verbesserungen. In einem weiteren Forum wurde der Bot ebenfalls veröffentlicht. Mehrere Anti-Viren-Scanner hatten ihn erkannt und der Schöpfer war somit seiner versprochenen “FUD”-Garantie nicht nachgekommen (fully undetected, zu Deutsch: „wird nicht erkannt").

„Das Bot-Geschäft und die anschließenden Support-Streitereien wurden in deutscher Sprache abgewickelt“, so Marco Preuss, Viren-Analyst bei Kaspersky Lab. „Dies zeigt, wie lebendig die Cybercrime-Szene in Deutschland ist. Die Auswirkungen der deutschen Bot-Affäre sind allerdings global: Da der Bot durch die Veröffentlichung nicht verschwunden ist, kann sich jeder ambitionierte Hacker das Paket herunterladen. Zudem tauchte vor kurzem auch der vollständige Quellcode des Bots im Internet auf. Auf dieser Basis haben Kriminelle die Möglichkeit, komplett eigene, neue Bots zu erstellen und diese inklusive Support im World Wide Web feilzubieten.“ (Kaspersky Lab/pah)